Hallo Stephan,
Das ist eigentlich egal.
- Im grünen Netz hat der Docker Host, wenn er tatsächlich öffentliche Dienste anbietet aus Sicherheitsgünden nichts verloren: Du musst davon ausgehen, dass die Software wie mrbs angreifbar ist, und wenn es einem Angreifer gelingt, Zugang auf den Docker Host zu bekommen, ist es besser, wenn der nicht in grün steht, sondern, z.B. in eine DMZ oder gleich in Rot.
- Für das dargestellte Setup ist das aber letztlich uninteressant. Wenn du deinen Mailserver in grün betreiben willst, und die Ports durch die FW durchreichst, musst du eben dafür sorgen, dass die DNS Cnames der Dienste, die auf dem Docker Server laufen auf die öffentliche IP deiner Firewall zeigen. Ein voll funktionales Mailserversetup auf diese Weise ist aber nur eingeschränkt möglich, vor allem wenn man keinen Smarthost für den Versand hat.
- Was Probleme bereiten könnte, ist die Zertifikatsbeschaffung hinter einer NAT FW, da letsencrypt ja auf Port 80 die Zertifikate erneuern will. Wenn du jetzt hinter deiner FW mehr als einen Server auf Port 80 erreichen willst, bräuchtest du in rot schon einen Reverse Proxy. Man kann die Zertifikatsbeschaffung, z.B… für einen Mailserver in grün, aber natürlich an den per Port 80 erreichbaren Host delegieren.
Ich gehe aber auch davon aus, dass für eine große Schule mit vielen Diensten ein Dockerhost nicht ausreicht, weil es da schon Sinn machen kann, dicke Apps wie Nextcloud/Collabora speicher- und ressourcentechnisch auf eine eigene VM auszulagern und kleine Dienste wie mrbs, osp, mail u.ä auf einem zweiten zu sammeln. Man braucht dann eben auch entweder mehr als eine IP oder Knowhow für einen „zentralen“ Reverse Proxy, zumindest wenn Dienste per http(s) angeboten werden, was meist der Fall sein dürfte.
Ansonsten würde ich die Strategie verfolgen, für jeden Dienst einen Host zu verwenden und kein UVZ, also posrtfolio.meine.schule.tld, mrbs.meine.schule.tld u.s.w., da es manchmal nicht trivial ist, den reverse Proxy für den Zugang über service.meine.schule.tld/dienst/ zu konfigurieren.
VG
Frank